Múltiples vulnerabilidades en Moodle

Múltiples vulnerabilidades en Moodle
raquel.loma
Lun, 19/06/2023 – 08:52

Recursos Afectados

Versiones: 

  • desde 4.2 hasta 4.1.3;
  • desde 4.0 hasta 4.0.8;
  • desde 3.11 hasta 3.11.14;
  • desde 3.9 hasta 3.9.21;
  • versiones anteriores sin soporte.
Descripción

Los investigadores Mateo Hanžek, Paul Holden y Petr Skoda han reportado 3 vulnerabilidades: 2 de severidad media y una de severidad alta, las cuales podrían permitir a un atacante realizar una escalada de privilegios, ejecutar código arbitrario o acceder a determinados servicios.

4 – Alta
Solución

Actualizar a las versiones 4.2.1, 4.1.4, 4.0.9, 3.11.15 y 3.9.22, respectivamente.

Detalle

La vulnerabilidad de severidad alta se debe a un problema en la lógica utilizada para comparar 0.0.0.0 con las listas de hosts bloqueados de cURL que deriva en un riesgo de SSRF (Server-Side Request Forgery). Esto podría permitir a un atacante escalar privilegios dentro del sistema, ejecutar código de forma remota dentro del servidor o inducir una aplicación del servidor a realizar solicitudes a una ubicación no deseada. Se ha asignado el identificador CVE-2023-35133 para esta vulnerabilidad.

Se han asignado los identificadores CVE-2023-35131 y CVE-2023-35132 para las vulnerabilidades de severidad media.

Etiquetas

Ir a la fuente
Author: raquel.loma
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.